說說找鋼
發(fā)展史
我們找鋼是在2011年年底成立的,之前也是響應國家“互聯(lián)網(wǎng)+”號召���,加上鋼鐵的產(chǎn)能過剩�����,于是我們公司成立了�����。
找鋼網(wǎng)是全產(chǎn)業(yè)鏈的鋼鐵電商�����,從買鋼材到倉儲運輸以及一些金融方面��,加上智能數(shù)據(jù)形成了的一個完整的鋼鐵貿(mào)易的生態(tài)圈�����,一開始找鋼網(wǎng)是做撮合業(yè)務����,因為買賣雙方渠道是不透明,現(xiàn)在我們也是做自營的業(yè)務�����,就是之前講過的一些服務我們都可以做到�。
規(guī)模上��,到現(xiàn)在找鋼網(wǎng)是有1400多人的大團隊����,也有一些分公司海外分公司,武漢二級研發(fā)中心���。
找鋼網(wǎng)B2B特色
相對其他的一些互聯(lián)網(wǎng)企業(yè)來說�����,找鋼網(wǎng)是還是一個偏向傳統(tǒng)的 B2B 互聯(lián)網(wǎng)企業(yè)���,從兩方面可以介紹一下,第一個是從用戶來說�����,我們的用戶群體比較集中,另外從業(yè)務量來說�,我們相對 2C,沒有那么大的用戶量���,另外我們的核心業(yè)務是在內(nèi)網(wǎng)�����。
歷史遺留問題
總體上�,我們找鋼網(wǎng)作為一個創(chuàng)業(yè)型的企業(yè)發(fā)展是很迅速的����,相對的也有很多問題,這里簡單講一下���,起初我們的物理機房很混亂���,如上圖所示,我想很多初創(chuàng)的公司都面臨過這樣的情況���,還有應用的部署不合理����,監(jiān)控方面不全面等等問題。我們的安全運維建設都是從零到有的一個過程���,包括標準化和自動化����。
安全運營
下面介紹一下安全運營����,找鋼的安全也是從零開始建設的����。
安全運營建設的通用公式
首先講一下安全建設的過程,我也了解了一些其他些企業(yè)安全建設的過程�����,大致總結有四點���,我把它定義為一個通用公式����。
最開始的是救火階段,當前優(yōu)先要解決刻不容緩的問題�����,比如說我們有一些外部應用遭到了攻擊�����,發(fā)現(xiàn)了高危漏洞�,甚至造成業(yè)務癱瘓了,直接可造成公司形象��、經(jīng)濟等損失等����。
接下來是建設階段,救火之后我們做防范建設措施��。做建設可以從兩點做起��,第一個是基礎建設��,包括辦公網(wǎng)絡和生產(chǎn)網(wǎng)絡���,第二個是安全建設�����,基礎建設建設完后我們可以做一些擴展的安全建設�����,比如從內(nèi)部的IT的建設���,運維的建設擴展得到全公司的業(yè)務����,跟公司業(yè)務結合�����。
第三階段是優(yōu)化階段���,當公司規(guī)模發(fā)展到一定規(guī)模,當前的一些策略�,或者是我們現(xiàn)有的一些產(chǎn)品不能滿足自己的公司的業(yè)務需求,那么進入到一個自研的環(huán)節(jié)��,這一點是根據(jù)當前現(xiàn)狀去開發(fā)滿足業(yè)務需求的工具和產(chǎn)品����,
最后一個階段產(chǎn)品的對外開放�。
救火系列
之前也說了建設的四個階段�,首先講一下救火階段,我是2015年底加入找鋼網(wǎng)的���,當時第三方安全漏洞平臺對爆出了找鋼網(wǎng)的一些高危漏洞�,那么首要解決這些高危安全漏洞��,避免攻擊擴大�����,漏洞修復完成后對存在漏洞的應用做一個整體的安全測試�����。
安全測試完全之后���,接下來就是要讓我們的研發(fā)人解決這些安全問題���,同時也要提供安全解決方案��,安全解決方案這可以整合成安全規(guī)范����,比如針對當前比較常見的或者是基礎的安全漏洞��,例如 SQL 注入���、以及常見的邏輯上的問題���,提供一個完全的攻擊案例和修復方案說。
再來就是對開發(fā)人員做安全培訓�����,在一個公司中開發(fā)人員的水平也是不一樣的��,甚至有些開發(fā)人員對安全沒有接觸過�����,或者可以說沒有安全基礎的開發(fā)人員����,對這一類開發(fā)人員要做的是先提高他們的安全認知���。
我做了一個安全平臺�,這個安全平臺初期的作用是作為安全漏洞的跟蹤管理統(tǒng)計,后期會對它擴展�,實現(xiàn)對所有安全的統(tǒng)一管理,比如說運維基準建設���,自動化巡檢以及日志平臺的建立,實現(xiàn)自動化預警機制�。
傳統(tǒng)的安全體系
救火之后我們需要做一些安全建設方面的工作���,安全體系的建設,相對其它互聯(lián)網(wǎng)企業(yè)來說��,傳統(tǒng)的互聯(lián)網(wǎng)企業(yè)需要做的安全建設項要稍有不同。
我們根據(jù)找鋼網(wǎng)的現(xiàn)狀����,從這五大方面做它的建設�,包括:基礎安全,應用安全�,訪問控制,運維安全�,以及內(nèi)網(wǎng)安全��,為什么把內(nèi)網(wǎng)安全單獨拿出來呢���?因為我們核心的業(yè)務是在內(nèi)網(wǎng),這對我們的業(yè)務體系來說是非常重要的����。
傳統(tǒng)的安全體系架構如上圖所示��,接下來我們一一講述���。
基礎安全
首先是基礎安全���,看上圖中基礎安全中的分類,他包含很多的方面,如網(wǎng)絡安全物理安全等等���。
做安全建設的時候�,大家會參考同行中其他互聯(lián)網(wǎng)公司怎么做的���,我這里要強調(diào)的是�����,參考只是參考���,而不是照搬。每一家企業(yè)都有自己獨特的業(yè)務體系�����,別的企業(yè)的不一定完全適用于自己,可以參考自己需要的�。
那么我們圍繞基礎安全分別介紹下具體是如何做的���?
網(wǎng)絡安全
首先說說網(wǎng)絡安全����,這個是做運維的基準��。我們做網(wǎng)絡安全要切合我們公司的網(wǎng)絡架構�,以最小的代價能獲取最大利益���。
安全域劃分的原則�����,南北向業(yè)務是最小化的原則���,也就是說訪問控制分配最小化的權限�,這點需要把控好�����,東西向的業(yè)務的需要分割��,實現(xiàn)業(yè)務隔離。
對于無線安全這塊���,無線安全也是我們優(yōu)先需要把控好的一點,我們無線安全是針對內(nèi)網(wǎng)和外網(wǎng)用戶實現(xiàn)訪問控制的���。
DOS 攻擊防御�����,之前我跟很多專家溝通討論過這個問題����,必須要花錢�,也只有多和少的區(qū)別���。
我們找鋼網(wǎng)是 2B 企業(yè),沒有 2C 那么大的流量����,我們企業(yè)對 DOS 防御從兩點做起���,一個就是運營商幫我們做一些基礎的過濾;再來需要采購流量清洗設備���,大家需要評估一下你們自己的業(yè)務,選擇適合你們的自己的產(chǎn)品���。
入侵檢測����,我們沒有采購單獨的 IPS 防護設備���,我們計劃是自研輕量級的入侵檢測。
數(shù)據(jù)安全
數(shù)據(jù)安全從三點來說:
第一點是資產(chǎn)的管理���,這是數(shù)據(jù)安全基礎���,不管要做哪一類的信息安全��,你首先要知道我們有哪些數(shù)據(jù),有哪些資產(chǎn)���,這些數(shù)據(jù)和資產(chǎn)類型是怎么樣的,這些數(shù)據(jù)等級劃分怎么樣的.
第二點是數(shù)據(jù)訪問���,一個是用戶的分配問題�����,還有一個是訪問控制��,需要做好這兩點�。
第三點就是數(shù)據(jù)安全�,一是備份,備份需要做到三方面���,本地備份����、本機備份���、異地備份;數(shù)據(jù)安全的第二點內(nèi)容是數(shù)據(jù)的存儲和加密���。
系統(tǒng)安全
接下來介紹一下系統(tǒng)的安全,上圖所列出的��,是根據(jù)我們當前實際情況定制的,包括:數(shù)據(jù)庫���,主機訪問控制,操作系統(tǒng)安全�,桌面工作站等等��。
這個就不一一介紹了���,需要強調(diào)的一點是,除了運維人員其他人員就不要接觸服務器���,如果有特殊情況�,特殊處理����。還有�,管理員權限一定要回收����,這個是做好系統(tǒng)安全基礎���。
物理安全
物理安全���,看看上述這張圖����,我們有很多分公司�,但是我們分公司沒有專門配備IT人員�����。左圖是曾經(jīng)的場景��,現(xiàn)在我們實現(xiàn)了右圖。這樣也便于對一些網(wǎng)絡故障的分析和定位�。
應用安全
接下來介紹基礎安全中的第二塊內(nèi)容����,應用安全�����。
應用是與用戶直接交互的����,做應用安全不是盲目的����,我們需要先了解業(yè)務�。我們當前的核心業(yè)務是什么�����?保護的對象是什么���?了解這些我們才能更明確的去分析業(yè)務面臨的危險有哪些,再來制定保護策略���。
應用安全,我們從三方面去做��,應用上線前的安全評估�����,應用完成后風險測試,應用日志的審計����。
安全評估是我目前正在做的事情��。我們核心的對外的應用�,在 PRD 評審階段�����,與產(chǎn)品和研發(fā)一起做安全評估,幫助他們在開發(fā)的階段規(guī)避一些常見的安全問題���。
應用安全風險,這里給大家推薦一個 STRIDE 模型�����。它對用戶身份的仿冒��、篡改,數(shù)據(jù)泄露完整性方面的安全都是有一個很好的解釋����。這個大家可以在百度上查閱�。
最后一個就是日志和審計�,根據(jù)日志就可以定位有哪些用戶訪問了我們的應用��,他們做了什么事情�����,可以分析一些風險場景��。
運維安全
再介紹一下運維的安全���,上述圖中描述的是我們目前正在做的。前面也說過���,我們初期有一個很混亂的場面,因此我們要做標準化���,自動化,信息化����,每一家企業(yè)要做好運維安全�,首先要做好這三點���,才能做好后面的管控方面的工作。
自動化這方面��,自動化是相當必須的�,因為公司不會在同一個崗位配備多個人員���,我們都知道運維人員加班加點特別多,做自動化也是必不可少的�����,可以減輕人工的工作�����,提高工作效率,像運維操作的流程很多���,比如有很多人要申請權限之類���,如果每一樣都需要人工操作,那么運維人員就不用干別的事了��,這充分說明了自動化的必要性,自動化的另一方面體系在監(jiān)控上,做好更全面更廣的監(jiān)控����,可以幫助我們快速發(fā)現(xiàn)并定位網(wǎng)絡故障���。
統(tǒng)一受權��,這個是比較關鍵的��,我們使用的是4A的產(chǎn)品�,這個產(chǎn)品目前使用下來還是挺不錯的�����。
內(nèi)網(wǎng)安全
最后一個就是內(nèi)網(wǎng)安全,對于我們來說是很重要的����。所有公司內(nèi)網(wǎng)安全都是也是必不可少的�����。
內(nèi)網(wǎng)安全涉及的點比較多�,首先是桌面的安全��,從以下幾點介紹,進程的控制����,補丁管理���,內(nèi)容過濾,資產(chǎn)管理�����,文件共享�,還有軟件安裝審計等等。
這里面簡單說一下安全審計�����,初期沒有一個系統(tǒng)化的管理平臺,每一個員工都擁有管理員權限�,這會帶來很多的安全風險,因為很多員工并不懂安全�����,不知道他訪問的哪些網(wǎng)站����,安裝的哪些軟件會有安全威脅����,這就需要我們IT人員做好管控�����,把普通員工的管理員權限取消。
另一點要說明的是補丁�����,并不是所有的應用補丁,或者是軟件版本更新都需要升級���,所謂要不要打補丁���,要根據(jù)你的業(yè)務進行評估����,如果對業(yè)務有影響���,會造成業(yè)務或者網(wǎng)絡中斷����,那么就不需更新補丁��。
終端安全,包括終端行為監(jiān)控��,資產(chǎn)配置管理�����,終端遠程維護,I/O 接口管理����,系統(tǒng)賬戶監(jiān)控。
這里不一一闡述了���,簡單說一下遠程維護的必要性�,比如很多分公司的員工會上報故障維修��,如電腦故障之類,各個分公司配備多個IT人員成本較高���,也不現(xiàn)實���,那么我們就需要IT人員遠程協(xié)助分公司員工解決故障了��。
防泄密,每一家企業(yè)都會碰到的�����,我們目前還沒有一個完整的解決方案,目前能夠做的是對員工進行思想教育��。
基于準入控制,這個也不用多說�����,大家都可以理解,你要判斷哪些可以接入內(nèi)網(wǎng)�,要滿足什么樣的條件或需要什么條件能夠進入內(nèi)網(wǎng)。之后我們可以從兩大點實現(xiàn)準入���,一個是網(wǎng)絡的準入����,還有一個客戶端的準入���,應用可以歸納為客戶端。網(wǎng)絡的準入可以通過 802.1X 協(xié)議執(zhí)行���。
VPN 安全有兩方面:第一個是管理��,另外一個就是配置�����。管理方面���,如權限開通一定要走審批的流程����,VPN 日志需要定期分析安全隱患���。在配置上需要做的幾點��,變更管理需要走流程�����,會話連接數(shù)設置,超時設置等等。
源碼安全也是很重要的���,這個也是我們保護的對象之一�����,源碼的管理難以做到面面俱到�����,可以從三方面做一些管控����,完整性��、授權�����,以及復制和傳播����,徹底的杜絕泄露我們目前無法實現(xiàn)。
有條件的可以做內(nèi)網(wǎng)日志��,之前看到的一個文章��,是阿里如何防止內(nèi)部員工去泄露信息���,它的實現(xiàn)是對內(nèi)部信息做一個打碼或者是加水印處理,水印中保存了用戶登錄 cookie�,一旦泄露可以定位到哪位員工泄露的����。
授權和訪問控制
在訪問控制上,我們現(xiàn)在實現(xiàn)的是身份管理這一塊�,其它方面也是慢慢做的實現(xiàn)���。身份管理����,單點登錄時一個不錯的方案���,其它的比如訪問管控�,流程資源方面可以在實際問題中逐漸擴展��。
安全驅動
上面寫的運營方面的內(nèi)容,是根據(jù)我們公司實際情況做的一個安全工作�����。
接下來是安全驅動��,這個是比較抽象的東西��,比如你要建設的策略����、計劃���,你要推動這些事情怎么落實。現(xiàn)階段也是我所面臨的一個難點��,在推動過程中遇到的一些問題�,接下來跟大家分享一下我的想法�。
資源分析
推動前先要做好事前分析,人力資源分析,當前你有多少人力可以助力推動這個事情。有多少的支持����,又有多少的反對�,支持和反對需要做好評估,如果阻礙太大做不下去就可以放棄了。
救火階段
那么救火階段的驅動需要做哪些呢�?我個人總結了一些����,時時跟蹤����,主動出擊�����,緊迫盯梢���,及時曝光�。如果需要配合的人不配合��,你可以曝光����,至于曝光給誰,當然是上級���,也就是可以做主拍板的人���。
日常運營階段
日常的運營階段,我總結的幾點是��,首先要明確負責人,定時跟蹤�����,流程約束����,松馳有度���,另外還要做獎懲的制度。明確責任人很重要����,你發(fā)現(xiàn)問題了,你要驅動一個策略����,要知道事件相關聯(lián)的人。
之前公司���,業(yè)務線比較多����,組織的變動也帶動了業(yè)務的變動,有一次我找人就找了兩天���,這個就是浪費時間的事情�。我建議�����,進入公司時先要熟悉組織架構�,自己可以維護一個表,記錄每一個業(yè)務產(chǎn)品的對應的負責人���。
建設階段
建設階段��,我們找鋼網(wǎng),安全只有一個人��,我們的運維人數(shù)也很少����,一共就有八九個,人少能做的事情是有限的����,你一個人可以做的很少�,結合大家一起做的事情就比較多了��,比如說結合運維�����、DBA���、IT�����、基礎架構等等��,可以站在一個驅動的角度推動���,涉及到運維就可以驅動運維人員協(xié)助完成,這就是一個相互協(xié)作的過程�。
推廣階段&落地
推廣落地我這邊也總結了幾點,首先安全要做好策略運營�,還要有一個流程的約束,研發(fā)的配合也是跟安全特別相關的����,比如說漏洞這一塊�,你要研發(fā)去配合解決����。最重要的是要得到老板的支持,所有的推動從上而下可以很快落實�,從下而上是比較難的。
平衡
最后是平衡���,我們的公司的以為業(yè)務人員跟我說�,安全是對我們業(yè)務的綁架���。我說不是�,我們安全是為業(yè)務服務的�����,是為了業(yè)務避免損失����,包括公司品牌形象的損失和經(jīng)濟的損失�。
那么如何去平衡這兩者關系,如果安全阻礙了業(yè)務的發(fā)展�����,降低了用戶體驗,造成用戶量下降����,直接導致經(jīng)濟損失,這個就要安全讓步了��,但是涉及到原則問題�,如果沒有做好安全把控,因攻擊事件造成公司名譽和經(jīng)濟損失�����,這個是不能讓步的�,所以要權衡好,最終的目的是為了讓業(yè)務做的更好��、更安全��。
